Много исходящего инет трафика от svchost

Проблема в следующем, позавчера вечером на одном из компьютеров KAV поймал виря (название при этом не сказал). успешно удалил его. однако после этого пошел дикий трафик в инет от процесса svchost (смотрю его описание по PID через taskinfo, пишет, что запущен сервис Запуск серверных процессов DCOM). поведение такое:

- после ребута, при отключенном инете, процесс svchost.exe ломится на адрес 210.245.124.114 [fpt114.vdrs.net] по 80 порту (в течение 20 сек, потом на 10 сек исчезает и снова появляется на 20 сек. т.е. шлет туда постоянно что-то, точнее пытается)

- при подключении инета, появляется порядка 20 соединений на разные адреса с большим исходящим трафиком, забивающим весь наш канал.

Этот компьютер 3 раза полностью проверялся различными антивирусами, но ничего не обнаружилось. сейчас этому компу просто порезали 80 порт, соответственно svchost все время пытается попасть на адрес 210.245.124.114

Логи сделал, единственное не смог отключить программу ipclient.exe. это процесс от банк-клиента "Сбербанка" для поключения к ихним сервакам. полное название проги Амикон ФПСУ/Клиент.

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\Nh.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\tdicf.sys','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
BC_ImportAll;
BC_DeleteSvc('synsend');
BC_DeleteSvc('Secdrv');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=32138[/url]

Повторите логи.

логи повторно

файл отправил

Файл сохранён как 081016_030504_virus_48f6f5b04eeea.zip
Размер файла 53586
MD5 9c53b292695692a91ed65f12be975d7d

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('hlfkbk');
QuarantineFile('C:\WINDOWS\system32\drivers\ukjztxkfnbo.sys','');
QuarantineFile('00000434.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ukjztxkfnbo.sys');
DeleteFile('C:\WINDOWS\system32\drivers\00000434.sys ');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('hlfkbk');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...

вроде помогло. а что это за гадость то такая?

логи в приложении, карантин залил

Файл сохранён как 081016_180116_virus_48f7c7bc50bde.zip
Размер файла 1738
MD5 2dd4ce20765c14a317dacf992bb23f93

ничего зловредного ...

всмысле ничего зловредного в логах? или в присланном карантине?

в логах

это радует, спасибо. хотя конечно хотелось бы узнать что это была за зараза

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\secdrv.sys - [B]Rootkit.Win32.Agent.eix[/B] (DrWEB: Trojan.PWS.Corp.3)[/LIST][/LIST]